Izdan Firefox 57.0.4 z rešitvijo napada Meltdown in Spectre
Mozilla je danes izdala novo različico svojega brskalnika Firefox. Ponuja dodatno zaščito pred resnimi varnostnimi težavami, ki so jih nedavno našli v procesorjih Intel. Posodobljena izdaja vsebuje rešitev za ranljivosti Meltdown in Spectre.
Če niste seznanjeni z ranljivostmi Meltdown in Spectre, smo jih podrobno obravnavali v teh dveh člankih:
- Microsoft uvaja nujni popravek za napake v procesorju Meltdown in Spectre
- Tukaj so popravki za sisteme Windows 7 in 8.1 za napake v procesorju Meltdown in Spectre
Skratka, tako ranljivosti Meltdown kot Spectre omogočata procesu branje zasebnih podatkov katerega koli drugega procesa, tudi zunaj virtualnega stroja. To je mogoče zaradi Intelove implementacije, kako njihovi CPE vnaprej pridobivajo podatke. Tega ni mogoče odpraviti samo s popravkom operacijskega sistema. Popravek vključuje posodobitev jedra OS, pa tudi posodobitev mikrokode CPE in morda celo posodobitev UEFI/BIOS/vdelane programske opreme za nekatere naprave, da se v celoti ublažijo izkoriščanja.
Napad je mogoče izvesti tudi z JavaScriptom z uporabo brskalnika. Da bi zmanjšali vektor napadov, je Mozilla izdala posodobitev brskalnika Firefox, ki blaži težavo.
Uradna objava trdi, da se oba napada zanašata na natančen čas, zato pomaga onemogočiti ali zmanjšati natančnost več časovnih virov v Firefoxu.
The obvestilo pravi:
Celoten obseg tega razreda napadov je še vedno v preiskavi in sodelujemo z varnostnimi raziskovalci in drugimi ponudniki brskalnikov, da bi v celoti razumeli grožnjo in popravke. Ker ta novi razred napadov vključuje merjenje natančnih časovnih intervalov, kot delno, kratkoročno ublažitev onemogočimo ali zmanjšamo natančnost več časovnih virov v Firefoxu. To vključuje tako eksplicitne vire, kot je performance.now(), kot implicitne vire, ki omogočajo gradnjo časovnikov visoke ločljivosti, tj. SharedArrayBuffer.
Natančneje, v vseh kanalih izdaje, začenši z Firefoxom 57:
Ločljivost funkcije performance.now() se zmanjša na 20 µs.
Funkcija SharedArrayBuffer je privzeto onemogočena.
Posodobljena različica brskalnika Firefox je zdaj na voljo za prenos za vse podprte operacijske sisteme in prek sistema za samodejno posodabljanje v sistemu Windows. Če ste uporabnik Firefoxa, se prepričajte, da ste namestili najnovejšo različico aplikacije ali da je Mozilla Maintenance Service nameščena in deluje, tako da se bo samodejno posodobila.
Microsoft Edge, Internet Explorer in Google Chrome so bili prav tako nedavno posodobljeni, da bi odpravili to ranljivost.
